что эта глава пригодится вам в работе с любым необычным сетевым протоколом, с которым вы можете столкнуться в будущем.

ный анализатор/дешифратор низкого уровня (диссектор). Хотя есть обходные пути для решения этих проблем, лучше с самого начала иметь надежные правила сканирования.

Поиск дополнительной документации

Дляполучениядополнительнойдокументацииилипримеровзахвата посетите веб-сайт Wireshark. Проект Wireshark часто включает в себя захват пакетов и в целом является отличным источником информа-

ции.В проекте используется wiki (https://gitlab.com/wireshark/wireshark/-/ wikis/home/), что позволяет участникам редактировать каждую стра- ницу.

Также обратите внимание, в каких областях отсутствует докумен- тация.Можете ли вы определить функции,которые недостаточно хо- рошо описаны? Отсутствие документации может натолкнуть вас на интересные открытия.

Тестирование диссекторов Wireshark

Проверьте, все ли диссекторы Wireshark правильно работают с ис- пользуемым протоколом. Может ли Wireshark правильно интерпре- тировать и читать все поля в сообщениях протокола?

Для этого сначала проверьте, есть ли в Wireshark анализатор для протокола и включен ли он: нажмите Analyze > Enabled Protocols (Анализировать > Включенные протоколы) – рис. 5.1.

ошибки, особенно в том, что касается сложных протоколов. Если вы заметили какие-либо ошибки, обратите на них пристальное внима- ние. Чтобы получить больше идей, просмотрите список Common Vul- nerabilities and Exposures (CVE, известные уязвимости и угрозы), для которого существуют диссекторы Wireshark.

Анализ

На этапе анализа сгенерируйте и воспроизведите трафик, чтобы по- нять,как работает протокол.Цель состоит в том,чтобы получить чет- кое представление об общей структуре протокола,включая еготранс- портный уровень, сообщения и доступные операции.

Получение копии сетевого трафика

В зависимости от типа устройства существуют разные способы полу- чения сетевого трафика, который необходимо анализировать. Неко- торые из них могут поддерживать конфигурации прокси сразу после установки! Определите, нужно ли вам выполнять активный или пас- сивный анализ сетевого трафика. (Вы можете найти несколько при- меровтого,как это сделать,в книге Джеймса Форшоу «Атака сетей на уровне протоколов».) Попробуйте генерировать трафик для каждого доступного варианта использования, причем генерировать как мож- но больше. Наличие разных клиентов поможет вам понять отличия и нюансы в существующих реализациях.

Одним из первых шагов на этапе анализа должны стать отслежи- вание трафика и проверка отправленных и полученных пакетов. Мо- гут возникнуть некоторые очевидные проблемы, поэтому полезно сделать это, прежде чем переходить к активному анализу. Веб-сайт https://gitlab.com/wireshark/wireshark/-/wikis/SampleCaptures/ – отличный ресурс для поиска общедоступных захватов.

Анализ сетевого трафика с помощью Wireshark

ЕсливWiresharkестьдиссектор,которыйможетанализироватьсгене- рированный вамитрафик,включите его,установив флажок напротив его названия в окне Enabled Protocols (Включенные протоколы) –

рис. 5.2.

Теперь попробуйте найти следующее.

zzПервые байты в сообщении. Иногда первые байты в первона- чальном соединении или сообщениях являются магическими: они позволяют быстро идентифицировать службу.

zzПервоначальное соединение. Это важная функция любого протокола.Обычно на этом этапе вы узнаете о версии протокола и поддерживаемых функциях, включая такие функции безопас­ ности, как шифрование. Повторение этого шага также поможет

zzЛюбые потоки TCP/UDP и общие структуры данных, ис-

пользуемые в протоколе.Иногда вы будете идентифицировать строки в открытом тексте или общие структуры данных, такие как пакеты,длина которых добавляется к началу сообщения.

zzПорядок байтов в протоколе. Некоторые протоколы использу- ют смешанный порядок следования байтов, что может вызвать проблемы, если не будет выявлено на ранней стадии. Порядок байтов сильно отличается от протокола к протоколу,но он необ- ходим для создания правильных пакетов.

zzСтруктура сообщений. Определите различные заголовки и структуры сообщений, а также способы инициализации и за- крытия соединения.

ле «Разработка диссектора Wireshark для протокола DICOM на языке Lua». Мы также будем использовать Lua для создания прототипа мо- дуля Nmap Scripting Engine для общения со службой.

Проведение оценки безопасности­

После того как вы завершили анализ, подтвердили свои предполо- жения о протоколе и создали рабочий прототип для связи с помо- щью службы DICOM, необходимо оценить безопасность­ протокола. В дополнение к общему процессу оценки безопасности­ , описанному в главе 3, проверьте следующие ключевые моменты.

Проверьте возможность атаки, связанной с аутентификацией сервера и клиента. В идеале клиент и сервер должны аутентифици- роватьдругдруга–этотпроцессизвестен каквзаимная аутентифика- ция. Если они этого не сделают, можно будет выдать себя за клиента илисервер.Такоеповедениеможетиметьсерьезныепоследствия;на- пример, мы однажды выполнили атаку с имитацией клиента, чтобы подделать компонент библиотеки лекарств и внедрить в инфузион- ную помпу мошеннические библиотеки лекарств. Хотя две конечные точкиобменивалисьданнымичерезTransportLayerSecurity(TLS),это не могло предотвратить атаку, потому что не выполнялась взаимная аутентификация.

Выполните преднамеренно ошибочное кодирование протокола и проверьте возможность атак путем флуда. Кроме того,

попытайтесь воспроизвести сбои и выявить ошибки. Фаззинг – это процесс автоматической подачи неверно сформированного ввода в систему с конечной целью поиска ошибок реализации. В большин- стве случаев это вызывает сбой системы. Чем сложнее протокол,тем выше шансы обнаружитьдефекты,связанные с повреждением памя- ти.DICOM (будетобсуждаться чутьниже)–прекрасный пример.Учи- тывая его сложность, в различных реализациях можно обнаружить переполнение буфера и другие проблемы безопасности­ . При атаках путем флуда злоумышленники отправляютсистеме большое количе- ство запросов, чтобы исчерпать ресурсы системы, и в результате она перестает откликаться. Типичный пример – TCP SYN, флуд-атака, вероятность успеха которой можно уменьшить с помощью файлов cookie SYN.

Проверьте шифрование и цифровую подпись. Данные кон-

фиденциальны? Можем ли мы гарантировать целостность данных? Насколько надежны криптографические алгоритмы? Мы видели слу- чаи, когда поставщики внедряли свои собственные алгоритмы шиф- рования, – это всегда имело катастрофические последствия. Кроме того,многиесетевыепротоколынетребуютцифровойподписи,кото- рая обеспечивает аутентификацию сообщений, целостность данных и невозможность отказа. Например, DICOM не использует цифровую подпись,если она не используется по безопасному протоколу,такому

Проверьте возможность атаки на устаревшую версию. Это криптографические атаки на протокол, которые заставляют систему использовать менее качественный и менее безопасный режим ра- боты (например, тот, который отправляет данные в открытом виде).

Примеры включают атаку «болтливого оракула» на устаревшее шиф-

рование (Padding Oracle on Downgraded Legacy Encryption, POODLE)

на уровне TLS/SSL. В этой атаке злоумышленник типа «человек по- середине» вынуждает клиентов использовать SSL 3.0 и использует врожденную уязвимость протокола для кражи файлов cookie или па- ролей.

Проверьте атаку на избыточность.Эти атаки срабатывают,когда протокол имеет функции, ответ которых значительно превышает за- прос,поскольку злоумышленники могутзлоупотреблятьэтими функ- циями, чтобы вызвать отказ в обслуживании. Пример – DDoS-атака с отражением mDNS,когда некоторые реализации mDNS отвечали на одноадресныезапросы,поступавшиеизисточниковзапределамило- кальной сети. Мы рассмотрим mDNS в главе 6.